Ciberseguridad: el principio de inmunidad de grupo aplicado al mundo tecnológico
Llevamos tiempo inmersos en una creciente regulación en materia de ciberseguridad. En nuestro país, con la aprobación de la Ley 22/2022, de 9 de junio, de medidas para la seguridad de las redes y de los sistemas de información, se establecieron las bases de esta regulación y, sobre todo, se definieron dos grupos de empresas con dos niveles de afectación: las entidades importantes y las esenciales.
La normativa requiere la adopción de medidas técnicas y organizativas acordes al riesgo, con el objetivo de incrementar los niveles de seguridad. Si todas las entidades refuerzan los niveles de seguridad, se mejora la seguridad colectiva de todo el país. Es el principio de inmunidad de grupo aplicado al mundo tecnológico.
El propósito principal de esta ley no es proteger a las empresas de forma aislada para su lucro privado, sino defender la seguridad nacional y el conjunto de nuestra economía. En un ecosistema digital y en un país con las dimensiones de Andorra, el efecto de la ciberseguridad podría considerarse sistémico.
Esta preocupación, reflejada en el aumento de la regulación, nos lleva a invertir más en seguridad para mejorar nuestra protección. Si nuestra intención es mejorar la madurez en ciberseguridad, debemos actuar en tres frentes: las personas, los procesos y las herramientas (tecnología).
Lo primero que nos viene a la mente siempre son las herramientas y la tecnología, es decir, los elementos técnicos encargados de ejecutar o controlar. Algunos ejemplos serían los instrumentos que nos permiten autenticar usuarios, los sistemas de monitorización y detección de ataques o las tecnologías de automatización para responder de forma rápida y estructurada.
El segundo frente, el de los métodos o procesos, constituye las reglas del juego. Definen el cómo, el cuándo y el porqué. Podemos contar con las mejores herramientas, pero sin método no sirven de nada.
Los marcos, las políticas, los procedimientos y los planes de respuesta son tan necesarios como las herramientas más avanzadas, ya que definen nuestra estrategia de seguridad, permiten identificar riesgos y establecen las medidas.
Por último, tenemos a las personas. La seguridad empieza y acaba en el individuo. En este frente se evalúa la concienciación y la organización humana. Hemos hablado largo y tendido sobre la concienciación. Generar conciencia y formar acerca de los riesgos es vital en un entorno donde los usuarios se han convertido en el blanco principal de los ataques.
Un error muy habitual es destinar la mayor parte del presupuesto a las herramientas y dejar de lado los métodos (los procesos para gestionarlas) y a las personas (encargadas de manejarlas o sortear los engaños). La madurez real se alcanza cuando los tres frentes avanzan al mismo ritmo.
De los tres frentes de actuación, me gustaría destacar el de las personas, pero desde el punto de vista operativo. Me refiero a aquellas personas cuya protección es nuestra labor diaria, independientemente del nivel. Actualmente, existe una falta de perfiles especializados en ciberseguridad en el país, por motivos que todos podemos imaginar: un aumento de la demanda interna (generada, en parte, por la regulación), una competencia feroz del teletrabajo internacional, la falta de atracción de talento que pueda venir a vivir al país y una escasa oferta local de formación especializada en ciberseguridad.
Este último motivo es el que nos ha impulsado a crear el Posgrado en Ciberseguridad, cuya primera edición comenzará en octubre en la Universidad de Andorra. ¿Por qué deberías cursar un posgrado en ciberseguridad? Por muchas razones: porque hay una demanda real de profesionales que no está cubierta, porque dicha demanda no hará sino crecer, porque no hace falta ir a estudiar fuera del país, porque supone una continuación del Grado en Informática de la UdA y, sobre todo, porque ofrece la oportunidad de crear una red de contactos con compañeros de clase, profesores de prestigio e instituciones y, por lo tanto, acceder al mundo de la ciberseguridad.
Si queremos que nuestra inmunidad colectiva en materia de ciberseguridad crezca, si queremos vivir en un país más seguro desde el punto de vista tecnológico, debemos formar al alumnado para que pueda desarrollar su actividad profesional en las empresas del país que requieran sus servicios.